Zero Trust
Author
Robin Laufenburg, Mi, 28. Jul. 2021
in IT-Sicherheit

Zero Trust

Warum sich Zero-Trust-Sicherheit für kleine Firmen anbietet

Zero Trust (frei aus dem Englischen für „kein Vertrauen“) ist ein aktuelles Security-Konzept, das traditionelle Netzwerk-Sicherheitskonzepte ablöst. Bisher wurde es vor allem bei mittelständischen und großen Unternehmen eingesetzt. Doch auch für kleine Firmen wird Zero Trust immer relevanter.

Was die Grundideen hinter Zero Trust sind, erfahren Sie hier.

Zero Trust & Zero-Trust-Sicherheit

Der in den frühen 2000er Jahren aufgekommene Sicherheitsansatz Zero Trust wurde spätestens seit 2009 von der Öffentlichkeit wahrgenommen. Der Weltkonzern Google entwickelte damals nämlich die erste bekannte Zero-Trust-Architektur BeyondCorp, da Advanced Persistent Threats herkömmliche IT-Sicherheitsarchitekturen erstmals vollständig ausgehebelt hatten. Zero Trust ist ein Gegenmodell zum traditionellen IT-Sicherheitskonzept.

Der zentrale Leitsatz von Zero Trust ist: „Vertraue niemandem, prüfe alles.“ Dieser für manche Personen vielleicht radikal anmutende Ausspruch ist bezogen auf IT-Systeme äußerst logisch. Vertrauen ist ein vollends menschlicher Zustand, der auf intuitivem Gefühl basiert und daher genau genommen auch gar nicht auf nichtmenschliche Handlungen übertragen werden kann. Der Name Zero Trust ist in diesem Sinne etwas irreführend, da es beim Zero Trust (auf einer Skala von Ver- und Misstrauen) nicht kein oder wenig Vertrauen und dafür viel Misstrauen gibt, sondern die Konzepte Vertrauen und Misstrauen (bzw. die Skala) gar nicht erst existieren.

Zero Trust: Kein Vertrauen

Nach dem Zero-Trust-Prinzip gibt es kein Vertrauen. Der Ansatz knüpft daran an, dass Vertrauen etwas Grundmenschliches ist, das nicht von Maschinen simuliert werden kann. Bild: Pexels/Cottonbro

Vertrauenswürdigkeit von IT-Systemen

Damit Benutzer mit ihren IT-Systemen wie Firmenlaptops und Diensthandys oder mit Assets auf Netzwerke oder weitere Systeme zugreifen können, müssen sie den Zugriff auf irgendeine Weise als legitim erkenntlich machen. Unter anderem dienen Passwörter und andere Zugangscodes als kontrollierte Verifizierung des berechtigten Zugriffs.

Geräte, die bereits einmal auf ein System Zugriff hatten oder mit einem Virtual Private Network (VPN) verbunden sind, werden oftmals automatisch als vertrauenswürdig eingestuft. Zudem können User häufig Passwörter einspeichern, sodass sie nicht neu eingegeben werden müssen. Benutzer können auf diese Weise auch ohne Verifizierung auf sensible Firmendaten zugreifen. Gleichzeitig gehen aufgrund von Deepfakes & Co. auch von Gesichts- und Spracherkennungen keine komplett sicheren Zugangsbeschränkungen mehr aus.

Zero-Trust-Prinzip und moderne Arbeitsmodelle

Und genau da setzt das Zero-Trust-Prinzip an. Denn hinter jedem System kann nicht nur ein konkreter Nutzer stecken, sondern potenziell jeder. Ersteres wird aber im Sinne der traditionellen Netzwerksicherheit angenommen. Das Vertrauen richtet sich dabei an den hinter dem System vermuteten Nutzer. Wird jetzt beispielsweise ein Rechner, der Mitarbeitenden zugeordnet werden kann, gehackt, können Cyberkriminelle damit im schlimmsten Fall das gesamte Firmennetzwerk kapern.

Besonders relevant wird die ganzheitliche IT-Sicherheit dann, wenn nicht alle Rechner eines Unternehmens vor Ort im Einsatz sind, sondern immer mehr Angestellte auch aus dem Home Office arbeiten. Auf diese Weise fällt nicht auf, wenn der Standort eines Benutzers nicht der des Unternehmens ist. Auch andere Arbeitsmodelle im Sinne von New Work wie Smart Work bedingen oft eine Notwendigkeit von Zero Trust. Sollten sich nämlich Schwachstellen auf privaten Geräten, die im Sinne von Bring Your Own Device auch für die Arbeit genutzt werden, befinden, wird Cyberkriminellen das Einfallstor ins Firmennetzwerk quasi auf dem Silbertablett präsentiert. Gleichzeitig ist es für Firmen schwieriger, Geräte außerhalb des Firmengebäudes mit kontinuierlich geprüftem Patch-Management zu versorgen.

Kontrolle und Verifizierung

Der Ansatz des Sicherheitskonzepts Zero Trust lautet, bei möglichst niedrigem Risiko maximale Sicherheit zu haben. Keine Anwender, Dienste und Geräte innerhalb und außerhalb des Netzwerks werden von vornherein als „vertrauenswürdig“ eingestuft. Damit findet eine intensive Kontrolle des gesamten Datenverkehrs statt.

Firmen, die auf Zero-Trust-Sicherheit setzen, versuchen genau das Eindringen von Hackern zu verhindern, indem sie alle empfangenen Datenpakete kontrollieren und verifizieren. Dabei fordert das Zero-Trust-Prinzip Mechanismen zur Authentifizierung, Autorisierung und Zugriffsverschlüsselung auf allen Ebenen. Sämtliche Anwender und Anwendungen sind also zu authentifizieren, zu autorisieren und der gesamte Datenverkehr ist zu verschlüsseln.

Zero-Trust-Architektur in Kleinunternehmen?

Zero Trust ist als Sicherheitskonzept vor allem bei mittelständischen und großen Unternehmen etabliert. Da immer mehr Cyberattacken gegen kleine Firmen, Selbstständige und Startups gerichtet sind, bietet sich eine Zero-Trust-Architektur aber auch für kleine Unternehmen immer mehr an.

Für die Umsetzung einer Zero-Trust-Architektur ist es notwendig, dass Sie alle Hardware und Software, die bei Ihnen im Einsatz ist, genau inventarisieren. Darüber hinaus sollten Sie die genauen Zugriffsrechte firmenweit festgehalten. Sie möchten eine Zero-Trust-Architektur in Ihrem kleinen Unternehmen umsetzen und wissen nicht wie? Dann ist PC-SPEZIALIST in Ihrer Nähe der richtige Ansprechpartner! Für uns ist die Implementierung einer Zero-Trust-Architektur ein Leichtes. Sollten Sie neugierig geworden sein und würden sich gern zu den Vor- und Nachteilen verschiedener Sicherheitskonzepte beraten lassen, ist PC-SPEZIALIST ebenfalls die geeignete Anlaufstelle.

_______________________________________________

Weiterführende Links: WeLiveSecurity von ESET, Computerwoche, Security-Insider, paloalto, CyberArk, Citrix

0 Kommentare

    Schreiben Sie einen Kommentar

    Ihre E-Mail Adresse wird nicht veröffentlicht.